Loading...
----------------------------------------------------------------------
米国CISAおよびJCDC、官民の組織とAIインシデント机上演習を実施(6/25配信)
----------------------------------------------------------------------
----------------------------------------------------------------------
【1】まとめ
----------------------------------------------------------------------
・米国カリフォルニア州政府、2020年のデータ侵害事件についてソフトウェア開発企業と和解
・タイ個人情報保護委員会、個人データの削除・破棄基準案を公開
・米国CISAおよびJCDC、官民の組織とAIインシデント机上演習を実施
・米国CISAら、ネットワークアクセスセキュリティへの最新アプローチに関するガイダンスを発表
・欧州ENISA、エネルギー分野におけるEUサイバー対策演習を実施
----------------------------------------------------------------------
【2】海外政策動向一覧
----------------------------------------------------------------------
2024年6月13日 米国カリフォルニア州政府、2020年のデータ侵害事件についてソフトウェア開発企業と和解
米国カリフォルニア州政府は、2020年のデータ侵害事件に関して係争中だったソフトウェア開発企業Blackbaud社との間で、同社が和解金675万ドル(約10億円)を支払うことを条件に和解が成立したと発表した。
2020年5月にBlackbaud社のネットワークが侵害され、消費者の個人データの漏洩が発生した本件事案において、同社は攻撃者が社会保障番号や銀行口座番号を含む個人データにアクセスしたことを知りながらもデータの侵害がなかったと発表し、侵害の影響を受けたユーザーにも正確な情報を提供していなかった。
カリフォルニア州司法省の調査から、多要素認証の実装などの基本的なセキュリティ手順を実行せず、個人情報を管理するシステムで発生した不審な行動を適切に監視していなかったことが明らかになったが、同社は情報漏洩前のデータセキュリティへの取り組みや情報漏洩の程度についても虚偽の説明を行っていたことについて、その責任を問われていた。
https://oag.ca.gov/news/press-releases/attorney-general-bonta-secures-675-million-settlement-against-blackbaud-over
https://oag.ca.gov/system/files/attachments/press-docs/Complaint%5B2%5D.pdf
https://oag.ca.gov/system/files/attachments/press-docs/Blackbaud%20Judgment%20final%5B2%5D.pdf
2024年6月14日 タイ個人情報保護委員会、個人データの削除・破棄基準案を公開
タイ個人情報保護委員会は、個人データの削除・破棄を定める基準の草案を公開した。王室官報掲載の翌日から発効するものとし、6月27日まで意見募集を受け付けている。
2019年のタイ個人データ保護法は、その第33条で個人データの所有者がデータ管理者に対して、データの削除または破棄を要求する権利、あるいは直接的または間接的に個人データの所有者が特定できないように要求する権利を有すると規定している。タイ個人情報保護委員会は、これに関連した個人データの削除・破棄基準を規定することで組織による運営方法の明確化を目指すとしている。
草案では、個人データの管理者または処理者は、データ所有者からの要求を受領した日から60日以内に遅延なく対応することを求める。また、他者の個人データに悪影響を与える可能性がある場合には、データ管理者がその理由を説明または実証する義務があるとした。
個人データの所有者が匿名化を行う対象には以下の情報が含まれる:(a)姓名/セカンドネーム (b)国民識別番号・パスポート番号・納税者番号・社会保障番号 (c) 会員/顧客識別コード (d)口座コード (e)連絡先番号 (f)メールアドレス (g)顔写真 (h)生体認証データ (i)情報システム上の氏名/ユーザーコード (j)その他の個人を特定できる情報
https://law.go.th/listeningDetail?survey_id=MzkxM0RHQV9MQVdfRlJPTlRFTkQ=
2024年6月14日 米国CISAおよびJCDC、官民の組織とAIインシデント机上演習を実施
米国サイバーセキュリティ・社会基盤安全保障庁(CISA)は、AIセキュリティインシデントへの効果的かつ協調的な対応に焦点を当てた官民合同の机上演習をはじめて実施した。この演習には、バージニア州レストンにあるマイクロソフト社の施設で行われ、政府機関や民間企業などから50人以上のAI専門家が集まった。
演習はJoint Cyber Defense Collaborative(JCDC)が主導、AIシステムが関与するサイバーセキュリティインシデントをシミュレーションし、参加者は代表組織間でインシデント対応のための運用協力と情報共有プロトコルについて学んだ。
https://www.cisa.gov/news-events/news/cisa-jcdc-government-and-industry-partners-conduct-ai-tabletop-exercise
2024年6月18日 米国CISAら、ネットワークアクセスセキュリティへの最新アプローチに関するガイダンスを発表
米国サイバーセキュリティ・社会基盤安全保障庁(CISA)は、連邦捜査局(FBI)や各国のパートナー機関(ニュージーランド、カナダ)とともに、「ネットワークアクセスセキュリティに対する最新のアプローチ」というガイダンスをリリースした。
本ガイダンスは、あらゆる規模の企業の経営者に対し、ネットワークアクティビティの可視性を高めるゼロトラスト、セキュアサービスエッジ(SSE)、セキュアアクセスサービスエッジ(SASE)などのより堅牢なセキュリティソリューションへの移行を推奨するもの。
さらに、従来のリモートアクセスとVPNの展開に関連する脆弱性・脅威・慣行およびリモートアクセスの誤った構成によって組織のネットワークにもたらされる固有のビジネスリスクを組織がより深く理解するのに役立つとしている。
https://www.cisa.gov/news-events/alerts/2024/06/18/cisa-and-partners-release-guidance-modern-approaches-network-access-security
https://www.cyber.gc.ca/en/news-events/joint-advisory-modern-approaches-network-access-security
https://www.cisa.gov/sites/default/files/2024-06/Modern%20Approaches%20to%20Network%20Access%20Security-508c.pdf
2024年6月20日 欧州ENISA、エネルギー分野におけるEUサイバー対策演習を実施
欧州連合サイバーセキュリティ機関(ENISA)が主催する欧州最大規模のサイバーセキュリティ演習「サイバー・ヨーロッパ」は、第7回となる2024年度演習を「EUのエネルギー分野のレジリエンス」がテーマに開催した。EUと架空の外国との間の地政学的緊張による摩擦から生じるEUのエネルギーインフラを狙ったサイバー脅威を想定したシナリオが採用された。EU各国からの参加者は協力しながらシナリオに沿った課題に取り組み、サイバー攻撃の危機に直面しても事業継続性を確保するための調整力と危機管理能力を磨いた。
今回の演習には30の国家サイバーセキュリティ機関が参加し、その他にも多数のEU機関・団体・ネットワーク・様々な分野のセキュリティ専門家が千人以上参加したという。
https://www.enisa.europa.eu/news/cyber-europe-tests-the-eu-cyber-preparedness-in-the-energy-sector
----------------------------------------------------------------------
【3】6月のM&A/IPO情報詳細
----------------------------------------------------------------------
2024年6月3日 米ArcherHall、法律事務所等にデジタルフォレンジックを提供するVestige Digital Investigationsを買収
2024年6月6日 Tenable、クラウド環境向けデータセキュリティ態勢管理 (DSPM) の Eureka Security を買収
2024年6月10日 Fortinet、Laceworkを買収し、クラウドネイティブアプリケーションの保護をAIで強化
2024年6月12日 Everfox(旧Forcepoint Federal)、ロンドンに拠点を置くGarrison Technology を買収